Casa Securitywatch Microsoft rilascia xp finale, aggiornamenti di Office 2003 per la patch di martedì

Microsoft rilascia xp finale, aggiornamenti di Office 2003 per la patch di martedì

Video: Установка Microsoft Plus! XP и Microsoft Office 2003 на Windows XP (Novembre 2024)

Video: Установка Microsoft Plus! XP и Microsoft Office 2003 на Windows XP (Novembre 2024)
Anonim

Microsoft ha rilasciato quattro aggiornamenti di sicurezza che risolvono 11 vulnerabilità in Windows, Microsoft Office, Internet Explorer e Microsoft Publisher nell'ambito della sua release di martedì di aprile. I bollettini sulla sicurezza per Windows XP e Office 2003 sono le ultime patch rilasciate pubblicamente per questi due prodotti, poiché Microsoft ha terminato il supporto oggi.

Sette delle vulnerabilità riguardano Windows XP e quattro riguardano Office 2003. "Questa è una patch martedì importante per gli utenti che si affidano alle piattaforme e alle applicazioni obsolete che passano all'auto-supporto questo mese", ha dichiarato Russ Ernst, direttore della gestione dei prodotti di Lumension.

Il bollettino principale risolve tre vulnerabilità in Microsoft Word (MS14-017), inclusa la vulnerabilità zero-day recentemente scoperta nel parser RTF (Rich Text Format). Se un utente malintenzionato induce l'utente ad aprire un documento RTF dannoso in una versione senza patch di Microsoft Word, l'utente malintenzionato può eseguire in remoto il codice sul sistema. Le altre due vulnerabilità sono imperfette con l'Utilità di conversione del formato file di Word 2007 e 2010 e un bug di overflow dello stack in Word 2003.

Microsoft ha affermato che attacchi "limitati e mirati" che utilizzano la vulnerabilità zero-day sono stati osservati in natura. Un Fix-It del 24 marzo ha offerto una soluzione temporanea per disabilitare Word dall'apertura automatica dei documenti RTF. Gli utenti che hanno originariamente installato Fix-it e aprono regolarmente i file RTF dovrebbero disabilitare Fix-it una volta installato l'aggiornamento, in modo che i file RTF si aprano normalmente, ha raccomandato Dustin Childs, responsabile del gruppo di Microsoft Trustworthy Computing.

Il malware che provoca il difetto può essere trovato su VirusTotal, "il che significa che siamo abbastanza vicini a un utilizzo molto più ampio da parte degli aggressori", ha avvertito Wolfgang Kandek, CTO di Qualys.

La correzione IE

Il secondo bollettino risolve sei vulnerabilità in Internet Explorer (MS14-018) e riguarda tutte le versioni da IE6 a IE11. Gli aggressori possono innescare i difetti inducendo gli utenti a visualizzare siti Web intrappolati tramite Internet Explorer. Mentre la vulnerabilità non è stata ancora sfruttata in natura, Microsoft ha assegnato un "indice di sfruttamento" di 1, il che significa che si possono prevedere attacchi entro i prossimi 30 giorni, ha avvertito Kandek.

Gli aggressori che prendono di mira questi difetti in Word e IE saranno in grado di eseguire codice in remoto, ma solo a livello di autorizzazione dell'utente. Ciò significa che gli utenti che non sono in esecuzione come amministratori sui loro computer Windows saranno "molto meno colpiti" di quanto non sarebbero stati altrimenti, ha osservato Marc Maiffret, CTO di BeyondTrust. Se la patch non può essere distribuita immediatamente, i controlli ActiveX dovrebbero essere bloccati e Active Scripting dovrebbe essere bloccato o disabilitato, ha raccomandato.

Microsoft ha anche rilasciato correzioni per Internet Explorer 10 e 11 per incorporare le correzioni in Flash Player rilasciate da Adobe oggi.

Aggiorna i tuoi sistemi

Gli aggiornamenti rimanenti coprono i difetti di esecuzione del codice remoto in Microsoft Publisher (MS14-020) e la gestione dei file di Windows (MS14-019). Un utente malintenzionato può sfruttare la vulnerabilità di Windows inducendo gli utenti a eseguire file.bat o.cmd da posizioni non attendibili senza preavviso. Publisher ha una piccola base installata e non ci sono exploit noti, rendendo la vulnerabilità meno critica.

Gli utenti che insistono ancora sull'esecuzione di XP devono assicurarsi di applicare immediatamente le prime due patch e assicurarsi che tutte le loro applicazioni software di terze parti siano aggiornate. Adobe ha affermato che non prevede di continuare a supportare Flash su XP, quindi assicurati di installare l'aggiornamento di oggi.

Microsoft ha introdotto tre nuovi sistemi operativi da XP, e anche se non ti piace Vista, Windows 7 e 8 faranno un lavoro molto migliore mantenendo gli utenti sicuri di XP. È davvero il momento di cambiare il sistema operativo. "Quest'anno, dopo un periodo di 13 anni, è" game over "per Windows XP", ha affermato Kandek.

Microsoft rilascia xp finale, aggiornamenti di Office 2003 per la patch di martedì